X

Actueel

15aug

Een datalek zit in een klein hoekje

Door: Daan Vellinga

Ik merk dat veel mensen wat zenuwachtig reageren op wet- en regelgeving zoals de Wet Meldplicht Datalekken en de Algemene verordening gegevensbescherming (AVG/GDPR). De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink vergroot worden door sancties van de overheid. Technisch gezien is er echter weinig veranderd. Je moet nog steeds je zaakjes op orde hebben. Het is niet zo dat er nu opeens andere soorten lekken mogelijk zijn. Het gaat nog steeds om de zelfde problemen met informatiebeveiliging als voorheen, alleen is er nu wetgeving over gevallen waarin die problemen leiden tot datalekken.

 

Welke kwetsbaarheden kunnen leiden tot een datalek?

Alle kwetsbaarheden.

Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens, en verlies van (toegang tot) persoonsgegevens.

Dat is vrij ruim. Als ik een kwetsbaarheid vind in een systeem waarin persoonsgegevens worden verwerkt, dan kan je er van uit gaan dat misbruik van die kwetsbaarheid leidt tot een datalek.

 

Een voorbeeld: het blijkt dat een inlogpoging in een webapplicatie 42 milliseconden duurt met gebruik van een ongeldige gebruikersnaam en een ongeldig wachtwoord. Een inlogpoging met een ongeldig wachtwoord maar met een geldige gebruikersnaam kost echter steeds 128 milliseconden.

Door gebruik te maken van deze kennis kan ik brute force wachtwoordaanvallen versimpelen door eerst te zoeken naar geldige gebruikersnamen en daarna pas te zoeken naar geldige wachtwoorden. Dat is zo'n significante optimalisatie van mijn aanval dat het ineens een reële mogelijkheid wordt om op die manier toegang te krijgen tot een gebruikersaccount. Wanneer ik dan van de betreffende gebruiker persoonsgegevens kan inzien, is er al sprake van een lek. De ernstigheid ervan, en daarmee de bijbehorende sanctie, hangt af van de hoeveelheid en aard van gelekte gegevens.

 

Het blijkt: "een datalek zit in een klein hoekje".

Related

Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Read More >
Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Read More >
Vest - Gold Sponsor ISSA

Vest - Gold Sponsor ISSA

Onlangs heeft Vest het golden sponsorschap bij het Nederlandse chapter van ISSA.org weer verlengd. G...

Read More >
Letter en geest

Letter en geest

Als een rechter een beslissing maakt op basis van de bedoeling van een stuk wetgeving, in plaats van...

Read More >
Eat, sleep, learn.... repeat

Eat, sleep, learn.... repeat

De “nieuwe” wet Algemene Verordening Gegevensbescherming bestaat al enige tijd en voor veel organi...

Read More >
Over whitelisting...

Over whitelisting...

Soms vragen wij bij een security test om beveiligingsmaatregelen uit te schakelen. In dit artikel le...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.